2

Фон: я недавно купил сервер и управляемый коммутатор для своего дома в надежде получить больше опыта и несколько забавных игрушек для игры. Устройства и устройства, которые у меня либо есть, либо планируются к использованию, охватывают широкий спектр: маршрутизатор, точка доступа DD-WRT, коммутатор Dell, сервер OpenLDAP, сервер FreeRADIUS, шлюз OpenVPN, домашние ПК, игровые приставки и т.д. Я намерен сегментировать свою сеть с помощью VLAN и связанные подсети (например, VID10 заполняется устройствами на 192.168.10.0/24). Идея состоит в том, чтобы защитить более чувствительные устройства, форсируя трафик через мой маршрутизатор /FW.

Настройка: После обдумывания и планирования в течение некоторого времени я предварительно определился с 4 VLAN: одна для подключения к глобальной сети, одна для серверов, одна для домашних / персональных устройств и одна для управления. Теоретически, домашняя VLAN будет иметь ограниченный доступ к серверам, а управляющая VLAN будет полностью изолирована для безопасности.

Вопрос: Поскольку я хочу ограничить доступ к интерфейсам управления, но некоторые устройства должны быть доступны для других устройств, возможно ли / целесообразно иметь только управление (SSH, HTTP, RDP), доступное для одной VLAN / IP и только услуги (LDAP) DHCP, RADIUS, VPN) доступны на других? Это то, что сделано? Получает ли это мне безопасность, я думаю, что это делает, или причиняет мне боль каким-то образом?

1 ответ1

2

Да, этот тип сегментации логических сервисов выполняется в промышленных и сверхзащищенных сетях, хотя редко в небольших масштабах, таких как сеть SOHO. Сети VLAN сами по себе не являются барьером безопасности. Крупномасштабные сети должны разбивать свой широковещательный домен на гораздо более мелкие сегменты в целях повышения эффективности, но для этого вам приходилось вносить такие изменения в аппаратное обеспечение, которые часто стоят дороже. Сети VLAN представляют собой попытку разрешить создание гибких широковещательных доменов в программном обеспечении / встроенном программном обеспечении, а не только через проводное соединение.

Вы получаете некоторые преимущества, связанные с безопасностью, за счет разделения управляющего vlan.

  • Он не подвержен атакам 2-го уровня, происходящим на других виртуальных сетях (хотя эксплойты с поведением коммутатора, такие как ARP-поток, вероятно, будут уязвимы для всех виртуальных сетей, если только производитель не имеет мер по снижению помех).
  • Вы можете настроить межсетевой экран VLAN таким образом, чтобы только локальные станции могли получить доступ к службам управления и получить контроль от самого маршрутизатора, в дополнение к межсетевым экранам сервера.
  • Управляющий VLAN будет пропускать намного меньше трафика и будет хорошим местом для развертывания IDPS или других инструментов мониторинга без неуклюжего зеркалирования портов.

Однако существует значительная стоимость, как в отношении оборудования, так и времени управления.

  • Всем вашим серверам потребуется несколько сетевых и кабельных систем (или действительно высокопроизводительных сетевых устройств с функциями VLAN), поэтому вы можете связать клиентские службы с одной, а службы управления - с другой.
  • Вам нужен довольно сильный маршрутизатор, чтобы не замечать какой-либо вредной задержки в ваших сервисах.
  • Ваше администрирование DNS и IP становится в 4 раза более активным, и потребуется некоторое администрирование брандмауэра и управление маршрутизацией.
  • Некоторые сервисы требуют, чтобы специальная конфигурация была видна всем хостам, и материал avahi/zeroconf может работать не совсем корректно.

В вашей гипотетической сети подключение каждого хоста к локальной сети должно быть перенаправлено в сервисную сеть и обратно. в то время как аппаратное обеспечение маршрутизаторов переключено, маршрутизация является гораздо более сложным процессом, чем простая коммутация уровня 2, и частично основана на программном обеспечении. Наличие маршрутизатора в центре функциональности основной локальной сети может быть разрушительным с точки зрения производительности, поддержки протоколов и видимости услуг, поэтому дешевый маршрутизатор SOHO, вероятно, не является хорошим выбором для этой роли.

Итак, в целом, да, крупные предприятия и ультрабезопасные системы, такие как банковские или SCADA-сети, сегментируют свои услуги / операции от своего управления, и это дает некоторые преимущества. Затраты, однако, могут перевесить преимущества при небольшом развертывании. Все зависит от того, сколько времени и денег вы хотите потратить.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .